全面风险管理体系建设精选(五篇)
发布时间:2023-09-28 10:11:53
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的5篇全面风险管理体系建设,期待它们能激发您的灵感。
篇1
(一)宝钢对风险管理工作的理解
为提高公司管理水平、增强在国际市场的竞争力,不断提升股东价值,宝钢决定推进全面风险管理体系建设,并根据《中央企业全面风险管理指引》(以下简称《指引》)要求,建立起了“以良好公司治理为基础,构建业务部门、风险管理部门和内部审计机构三道防线”的风险管理理念。结合宝钢经营管理实践,明确了风险管理体系建设的总体目标:即围绕宝钢战略目标,在企业管理的各个环节和经营过程中执行风险管理流程,培育良好的风险管理文化,使风险管理机制成为宝钢经营管理各个环节的有机组成部分。
同时,宝钢还认识到为了充分有效地利用风险管理,必须将风险管理的精神深植于企业的组织文化和员工的心中,并透过一个强有力的风险管理框架,将风险管理融入企业日常的作业程序中。建立企业风险管理框架的核心是使管理者明确组织正面临怎样的风险、这些风险如何随经营环境的变化而变化、组织应承担何种水平的风险、应如何管理这些风险。一个良好的适合本企业的风险管理框架应达成以下目标:将风险偏好与企业战略相联系;确保风险管理战略同组织的发展战略和股东的价值相一致;提供鉴别和评估风险的工具,以利于鉴别和评估组织所面临的风险;提供对风险进行科学归类的工具,利用风险最优化的概念,以组合观为基础来探讨风险议题;将企业风险管理与基本的经营活动相整合,避免额外的成本支出。
(二)宝钢开展全面风险管理的情况
宝钢按照国资委《指引》的要求,构建了业务部门、风险管理部门和内部审计机构三道防线。第一道防线建设:总部各职能部门和各子公司作为风险管理的第一道防线,是所管业务风险的责任者,并明确了相应职责。第二道防线建设:成立了“全面风险管理体系建设领导小组”,明确了风险管理的综合管理部门,对全面风险管理的日常工作进行协调和推进。第三道防线建设:审计部门负责对风险管理体系的建设情况及工作效果进行客观、独立的监督评价。对各单位内部控制的合理性、完整性、有效性、可靠性做出评价,及时发现流程中存在的问题,提出内控完善的建议。
在风险的系统识别方面,宝钢以企业的价值目标为抓手,从满足股东期望、收入增长、毛利增长和提升资产利用效率出发,识别公司的风险减值点。由企业40余个价值因素分析而成的关键整体风险列表是归纳减值点的依据,减值点可用以追踪在公司层面监控的重大风险,而各业务部门是风险识别及防范的一线,因此,必须将减值点及整体风险分配到部门,确定风险责任人,由基层入手开展全面风险管理工作。项目组根据单体风险档案涉及的业务部门,总结与该部门相关的所有减值点,并将其归纳成册,便于公司领导及业务部门查阅与其工作岗位相关的所有减值点及风险档案。
在风险分析工具方面,宝钢借鉴质量管理中常用的SIPOC 模型来分析关键风险点。SIPOC(Supplier 供应者,Input 输入,Process 流程,Output 输出,Client 客户)作为过程管理和分析改进的常用技术,是识别业务流程核心及关键风险点的首选方法。通过使用这种方法,我们可将业务流程(如某减值点)分解为若干关键点,并明确其目标和涉及的人、财、物、流程等要素,以确保对该流程所涉及的风险进行全面梳理。
在风险预警和应急预案方面,建立起了财务预警指标体系,以财务会计信息资料为基础,以计算、统计、分析、监控等方法为手段,对公司可能或将要面临的财务风险进行实时监控和预测警示,使得对财务风险以及可能造成的损失,可以通过财务指标的计算和分析得到了量化衡量、预警,以便公司及时采取预防措施,防范、化解或规避风险。此外,在总部和子公司层面编制了一系列应急预案,提高宝钢处置突发事件、保障公共安全的能力,最大程度地预防和减少突发事件及其造成的损害。
二、实施风险管理的思考
(一)体现整体风险组合观
风险管理要求从整个企业组合的角度来考虑风险,一个部门的风险很可能与其他部门或企业总体密切相关,独立应对该风险可能无法达到期望的效果或无法应对;一个风险的应对措施也可能会带来其他的风险,单独考虑风险应对措施反而可能导致公司整体风险的加大;一个风险可能属于风险容忍度范围之内不需要采取应对措施,但类似风险在不同部门同时发生则就会产生超出风险容忍度范围,而应采取风险应对措施;一个风险可能与其他风险形成互补,独立应对该风险可能会造成资源重复浪费等。因此,在考虑每一个风险应对策略和具体措施之前,应从整个企业的角度去分析风险,以决定哪些风险可以从公司层面采取措施进行整体应对;哪些风险需要跨部门的配合才能有效应对;哪些风险可以在企业内部形成互补,而不必采取不同的应对方案;以及哪些风险同时发生可能会对整体造成严重影响等。
综合考虑风险的方式可以是:每个部门识别和评估风险之后,出具一份综合评估风险的报告,反映出该部门的主要风险及与其他部门的关联度。高级管理层授权风险管理部门对每个职能部门的风险进行整理和分析。风险管理部门召集相关部门研究讨论,从而提出风险组合应对的建议,由高级管理层作出决策。
此外,笔者在工作中经过长期的思考分析,认为风险管理工作要和企业管理的多方面相结合,构建整合的企业风险管理系统。这不仅要考虑和内控体系的融合,还必须与企业公司治理、战略管理等系统相整合。企业风险管理整合系统如下图1所示。
风险管理功能与公司治理功能相耦合和良性互动是风险管理系统与公司治理系统整合的目标。美国内部审计师协会(IIA)认为,企业风险管理的本质是“通过管理影响企业目标实现的不确定性来创造、保护和增强股东价值”。而公司治理则是董事会为了维护公司利害相关者利益而对管理层提供指导、授权和监督的过程。董事会作为公司最高治理层不可能实施日常的指导和监督,而必须依赖其它主体――高管、经理和审计师来帮助其实现治理的目标。
董事会、高管、内部审计和外部审计是有效公司治理的4大基石,整合风险管理与公司治理就是在前述公司治理框架中加入风险管理的角色。在这种拓展的公司治理框架中,只有高管和风险主管应当直接承担风险管理的责任。
将战略管理系统与风险管理系统相整合,有利于以较低的成本顺利实现企业的战略目标。公司治理确定企业风险管理的范围和边界,并为风险管理提供政策;而战略管理则为风险管理提供资源与支持。
总之,整合的风险管理框架应该是由公司治理层面确定风险管理的政策,由高管确定风险管理的偏好,由战略管理层确定风险管理流程、文件和模型,在应用和基础设施层面配备相应自动控制装置,以促进事件的自动处理和报告的自动生成,并使用分析工具对这些事件及其组合与公司政策的相关性进行分析,为决策者提供风险应对的信息。
(二)注重减轻风险产生的不利影响和管理的持续改进
除了尽可能减少风险发生的可能性,还应该考虑如何采取有效措施,减少风险发生后的影响。应急计划和业务持续计划能够尽可能的在最早时间处理发生的事件,从而减少风险的消极影响;同时,还应考虑采用合同、保险或其他金融工具等手段,尽可能的减少公司财务损失。
在选择一个或几个最合适的能够将风险控制在风险承受度以内的措施时,需要考虑不同备选措施的效果和成本,即风险应对原则上要求其管理风险所需的成本与其所带来的收入相当。在比较成本与收益时,考虑的因素包括:
(1)直接的或间接的成本、有形的或无形的成本以及财务或非财务成本;
(2)单独的应对方法或组合方法;
(3)慎重考虑那些发生可能性较小但却很严重的风险;
(4)考虑对股东价值的影响;
(5)考虑应对风险的预算,区分优先顺序;
(6)应对措施针对现在控制不足,且该措施的落实可减少该风险的来源;
(7)风险应对可能本身带来新的风险。
每个风险应对方案都会产生一些直接或间接的成本,需要对其产生的效益进行权衡。要考虑设计和实施一种风险应对方案的初始成本,包括流程设计、人员、技术投入等,也要考虑维持该风险应对方案所产生的成本。管理层可以采用定量或定性的方式衡量成本和相关的收入,在很多情况下,风险应对的成本和收益是不容易量化的,需要主观判断。持续改进过程的步骤是一种基于PDCA(Plan计划,Do执行,Check检查,Action处理)循环的系统化问题解决方法,改进通常是阶段性的,要观察每个阶段各个过程的整体效果,而不是分散进行。不然的话,分散优化会降低整体的效率。风险评估基础的建立、风险识别从第二年开始以少量更新为主;风险评估、风险应对、风险测试、风险监控与再确认、风险报告应每年至少循环一次,整个体系持续改进。具体的步骤如下:(1)识别风险流程改进机会;(2)评价需改进的流程;(3)分析具体实施中存在的问题;(4)采取措施;(5)确认改进的结果;(6)改进方法标准化;(7)为下一阶段或未来进行计划。
此外,良好的风险管理工作还需要每年进行一次循环。在风险管理体系初步建立后,公司需要求各部门再次进行识别本部门单体风险,建立风险档案,并汇总成公司整体风险的工作,上述工作无需每年进行,而是在必要时在现有风险库的基础上不断更新。从风险排序开始到年度评价考核和总结的各步骤,每年需要重新开展,从而实现年度的PDCA 管理闭循环,但每年工作重心将有所转移,体现当时的管理热点。同时,风险管理体系与内控体系有效融合,也使得风险评估的结果引导着内控手册定期更新和内控自我评估。所以说,风险管理工作是个循序渐进,不断完善的过程。
主要参考文献:
[1]张谏忠,吴轶伦.内部控制自我评价在宝钢的运用[J].会计研究,2005(2).
[2]吴轶伦.内部控制自我评价[J].上海财经大学学报,2004,(4).
[3]吴轶伦.内部审计职能的发展与风险管理模式的建设[J].冶金财会,2006,(3).
[4]方红星.内部控制审计组织效率[J].会计研究,2002,(7).
篇2
1 引言
在“走出去”战略的指引下,我国对外工程承包取得了快速的发展。根据中国对外承包工程商会统计,自2002年以来,我国对外工程承包完成营业额及新签合同额一直以15%以上的速度增长。对外承包工程企业海外业务发展迅猛,承揽的项目规模不断扩大,国际工程业务市场范围不断扩大,目前已遍布全球180多个国家和地区。
但近年来,骄人业绩的背后,我国企业在海外承包的工程同时也不断暴露出不足,特别是风险管理中的不足,其影子存在于沙特麦加萨法至穆戈达莎轻轨项目产生的巨额亏损、利比亚战乱可能引发的超千亿损失、中铁波兰高速公路项目被迫中止等项目中。这些典型的案例,为众多正在"走出去"的中国企业敲响了警钟,也凸显了国际工程风险管理的重要性。
2 国际工程项目的特点
国际工程项目不仅具有一次性、唯一性、目标明确性、实施条件的约束性、活动的整体性、组织的临时性和开放性等基本特点;还具有投资巨大、复杂程度高、整体性强、技术水平要求高、建设周期长、不确定性因素多、生产要素的流动性、当地政府的管理和干预等特点。这直接导致了国际工程项目的特点较国内工程更复杂,更多变,更难预测和控制。
2.1 合同参与主体的多国性
国际工程项目一般采用全球招标模式,国际工程签约的各方主体通常属于不同的国家,项目不仅受所在国法律约束,同时也受国内法律约束,涉及的法律范围极广。一个大型的国际工程项目建设可能涉及多个国家,在涉及到不同的国家、不同的民族、不同的政治和经济背景、不同参与单位的经济利益时,各相关方之间,很容易就合同要求不容易相互理解,对合同条款的理解也易于产生歧义,导致在出现争端时,对问题的处理往往较为复杂和困难。
2.2 合同条件严谨,要求符合国际惯例
国际工程已经有超过一百年的历史,因国际工程不能单纯按照某国法律进行管理,导致各个国家和国际组织(尤其是行业协会)不断对国际工程的实施情况进行总结和改进,形成并出版了一批比较完善严谨的合同范本,同时也在实施中也养成了一些工程管理的国际惯例,这些范本和国际惯例基本囊括了当今各种类型的合同形态和管理惯例,是国际工程项目实施和合同管理的实践基础。
2.3 技术标准、规范和规程庞杂
国际工程合同文件中需要详尽的规定材料、设备、工艺等各种技术要求,通常采用国际上被广泛接受的标准、规范和规程。如 ANSI(美国国家标准协会标准)、BS(英国国家标准)等等,但有些涉及工程所在国使用的标准、规范和规程。还有些发展中国家经常使用自己尚待完善的“暂行规定”。这些技术要求准则的庞杂性无疑会给工程的实施造成一定事实上的困难。
2.4 建设周期长,工程项目环境较复杂
国际工程工期少则一两年,长则二十至三十年,对于如此长的履约期限,国际工程承包商从要整体长期角度全面考虑国际工程项目实施中可能出现的各种因素,尤其要对项目风险进行充分的调查和分析;如资金紧张、材料供应脱节、清关手续繁琐等等风险呢,工程项目环境复杂,就要求对工程项目实施全过程的项目管理。
3 全面风险管理理念
全面风险管理是目前国内外研究的热点问题,在现代国际项目管理活动中,全面风险管理占据着越来越重要的地位。全面风险管理有四个方面的涵义:一是项目全过程的风险管理,从项目机会阶段到项目的结束后评估,都必须进行风险的研究与预测、过程控制以及风险评价,实行全过程的有效控制以及积累经验和教训;二是对全部风险的管理;三是全方位的管理;四是全面的组织措施。
4 国际工程项目全面风险管理体系建设
“前车之鉴,后事之师”。在深刻剖析国际项目的特点、积极应对负面影响的同时,国际工程项目建立健全全面风险管理体系、运用最新风险理论防范化解经营风险是大势所趋。这对于目前风险治理环境不完善、L险集中管理能力欠缺、风险作业效率不高、风险量化管理和风险内控基础薄弱的从事国际业务的中国企业来说,无疑是一项艰巨的挑战。
4.1 培育全面风险管理环境,夯实体系风险管理的基础
全面风险管理环境是全面风险管理的基础和平台,全面风险管理的其他模块都是在风险管理环境这一的平台上运行的。具体内容包括风险管理文化建设、风险管理组织结构、风险管理人员的培训、管理等。
从全面风险管理文化来看,要营造国际工程项目全员风险管理文化,使风险管理目标、理念和习惯渗透于每个业务环节,内化为每位员工的自觉行为。从全面风险管理组织结构来看,国际工程项目风险管理部门应实现从单纯后台监管的角色转换,风险管理的触角应全面延伸到项目各职能部门和过程控制。从纵向来看,国际工程项目风险管理部门应实现自上而下的垂直管理,企业级风险管理部门直接负责项目级风险管理部门的考核、指导和管理;从横向来看,项目级风险管理部门在项目各业务部门设立风险管理窗口,各业务部门的风险管理窗口人员直接接受其考核、指导与管理,通过有效的组织机构对各方面的风险管理资源进行整合和利用。从风险管理培训来看,除了对项目管理人员和专门的风险业务人员通过专业培训、专题研讨、外出调研等形式进行培训,提高其在风险管理上的专业和综合素质;同时要发挥项目管理人员和专业风险管理人员的作用,不仅仅要让全员知道本岗位的风险还要认识到本岗位的风险会造成怎样的连锁反应,可能对项目造成的危害和损失。通过上述措施,为国际工程项目风险进行全过程、全部、全方位管理打下坚实基础。
4.2 规范全面风险管理流程,确保体系的有序性和有效性
国际工程项目的经营特征决定了每项业务、每个环节都面临现实或潜在的风险,任何忽视流程的思想和行为都可能导致局部或全面的经营失败。因此,实施全面风险管理的一个重要要任务就是统一操作环节、规范管理流程。
国际工程项目中的各项风险管理工作开展应该严格按照流程运作,即:风险管理目标与政策设定、风险监测与识别、风险估计与评价、风险处置、风险管理评价与持续改进、信息交流与反馈。整个管理流程可以简单表述为:首先,项目风险管理部门根据风险管理环境结合企业制定的风险战略、风险政策及对部门的职责分配来确定本部门的风险管理目标,并制定相应的风险管理政策;然后,从产品和服务提供的运作全过程中进行风险识别,并运用风险估计与评价的方法和模型对风险进行定性、定量,并将结果与风险容忍度进行比较分析,提出风险处置方案;最后,对整个风险管理的效果进行评价,并把信息反馈给上级风险管理部门。通过严格的流程循环管控,进而不断健全风险管理制度、及时改进执行程度、各环节的衔接性、流程的合理性、管理体系的环境适应性等方面的缺陷。
4.3 加大风险量化技术应用程度,提升体系风险管理准确性
国际工程项目要结合自身企业战略导向、市场定位、内部资源以及风险管理现状等因素,加大风险量化技术的研究、推广和应用工作,提高风险管理中定量技术的占比。量化技术的应用要以暴露风险和提升风险管理能力为核心目标,通过模拟或实践获得反馈信息,用以验证量化技术的效果,使之得到动态地校正和优化。同时要建立完整统一的数据库,并将数据维护工作常态化,不断提高数据的准确性和针对性,尽快建立起符合国际工程项目要求的,完整、严格、一致的数据标准和相应的数据处理平台,从而保证构建全面风险管理体系中所有量化管理的数据需要。
另外,全面性的企业风险管理很重要的东西就是要把风险和风险之间的互相影响,是否有正相关是否有负相关,或者说这个风险产生之后,我们如何和其他风险放在一起之后再一起考量要如何做风险决策。风险管理要倾向于建立按照逻辑顺序组织的,按照时间顺序排列的(比如,何时最有可能发生风险),并将具有相同性质的风险或相关的风险结合在一起的功能性风险矩阵。而风险矩阵对于较为复杂的国际工程项目来说必不可少,因为项目团队更能理解整体风险,风险矩阵使得向高级管理层汇报主要风险更为容易,并确保风险对策能够及时实施。最重要的是,风险矩阵减少了向其他各方分配风险的方式中的不一致性或缺陷,有助于向合作方和分包商转移风险,保证谈判按部就班地进行,并促使风险计划和现场方案早日制定以处理特定的风险。
只有能够在国际工程项目中灵活运用风险定性和定量分析技术,摸清风险联系,才能最大程度的确保风险在可控范围内,风险管理的准确性才能得到提升。
4.4 强化重点业务的专业化风险管理,提高体系精细化和专业化水平
对于我国大部分建筑企业来说,国际工程的合同、咨询、设计、采购、法律、金融、税收等领域的专业化风险管理,对于中国企业“走出去”,承揽如EPC、BOT、PPP等模式的大型际工程项目提出了严峻的挑战和考验。
实现国际工程项目专业化风险管理,不仅要积极依靠风险管理信息系统,实现专业化风险信息的收集、评估、制定应对信息等,通过信息系统的自动化、网络化,尽量避免人为控制,确保专业风险管理信息的时效性和真实性。同时,还应该加强对于具备商务、法律、外语、合同等专业领域及知晓化风险管理过程的复合型人才的招聘、培养与储备。对于专业化风险管理要把人脑和机脑结合起来,把数学模型的结果和专业风险管理人员的经验和知觉结合起来,以提升项目对于重点业务专业化风险管理的精细化和专业化水平。
参考文献:
[1] 刘尔烈.国际工程管理概论[M].天津:天津大学出版社,2003.
[2] 中国对外承包工程商会.2014年对外承包工程行业发展概况.[EB/OL]. [2013-04-28].http://218.249.118.171/templates/periodical/index.aspx?nodeid=68&page=ContentPage&contentid=28529.
篇3
关键词:全面风险管理;内控体系建设实践
自从国际的金融危机爆发以后,先进国家和地区对金融制度和经济结构不断进行着重大的调整,各个国都在加大科研创新,纷纷将新材料、新能源、新技术作为新一轮产业发展重点,抢占经济发展的制高点。随着经济环境日趋复杂,公司的经营活动面临着更多的不确定性。所以建立全面风险管理和内控体系,成为了我国国有上市公司的工作重点。
一、全面风险管理和内部控制体系的关系和意义
1.全面风险管理的发展历程和目标
后危机时代的中国企业面临着来自方方面面的危机,2004年中航油新加坡公司风险管理失败事件后,2006年6月国资委颁布了《中央企业全面风险管理指引》,对开展全面风险管理工作作出了明确规定,并要求报送年度风险管理报告。全面风险管理,指企业围绕总体经营目标,通过在企业管理的各个环节和经营过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全全面风险管理体系,从而为实现风险管理的总体目标提供合理保证的过程和方法。
2.内部控制的发展历程和目标
2001年12月,美国最大的能源公司--安然公司突然申请破产保护,暴露出美国上市公司治理结构和外部监督的缺失,美国加速通过了《萨班斯法案》,要求建立公司建立内部控制体系。2008年和2010年,中国五部委联合了《企业内部控制基本规范》和《企业内部控制配套指引》后,中国证监会强力推进上市公司内控建设。
3.全面风险管理和内部控制的关系
全面风险管理和内部控制目标是一致的。内部控制的目标是防范和控制风险并促进企业实现发展战略,风险管理也是为了促进企业实现发展战略,要求将风险控制在可承受范围之内。两者之间不是对立的,而是协调、统一的整体。
全面风险管理和内部控制内容互相包容。内部控制是一类控制风险的措施,是一种风险治理的解决方案,旨在最小化风险。因此,全面风险管理和内部控制管理内容是相互包容的。
4.全面风险管理和内控体系建设的意义
积极开展全面风险管理和内控体系的建设,发挥好审计部在风险管理工作中的第三道防线,进行风险监督,对公司持续健康发展有举重轻重的作用。为了更好的开展全面风险管理和内控制度的建设工作,并落实到日常管理工作中。公司应将全面风险管理和内部控制相结合,在现有体系基础上融入风险管理的要素,建立健全全面风险管理和内控体系。
二、全面风险管理和内控体系建设的治理结构
公司治理是公司全面风险管理和内部控制的核心,良好的公司治理是提高公司经营管理效率的基本要素。全面风险和内部控制体系作为公司为履行管理目标,建立了规则、政策和程序,与公司管理及公司治理密不可分。
1.全面风险管理和内控治理机构的一致性
公司治理是现代公司在决策、激励、监督约束方面的制度、原则,涉及利益相关者之间在权力与责任方面的分配、制衡以及效率经营与科学决策。在《中央企业全面风险管理指引》与《企业内部控制基本规范》中均规定,企业应建立并健全公司的治理结构,明确责权限,形成有效科学职责分工制衡机制。全面风险管理与内控控制体系组织结构共同包括:股东大会、董事会、监事会、审计委员会、内部审计机构等。
2.全面风险管理和内控治理机构的差异性
虽然全面风险体系和内部控制体系在治理机构中存在着很多的一致性,但仍存在部分差异。
全面风险体系治理结构还包括:风险管理委员会、风险管理部门等。内部控制体系治理结构还包括:经理层、内部控制管理机构
三、企业开展全面风险管理和内控体系建设实践
1.全面风险管理体系建设
公司已初步建立了相关内部控制体系,但随着公司的快速发展,以及公司经营管理水平的不断提高的需要,内控体系也应作相应调整和补充完善,对此开展了全面风险管理和内控体系建设。
(1)全面风险管理和内控体系框架
为了加强公司全面风险管理工作,建立健全全面风险管理和内控体系,根据境内外相关法律法规,结合公司实际,制定了《全面风险管理手册》。明确了风险管理的组织机构和管理流程,形成风险管理长效机制。
(2)全面风险管理和内控体系建设的流程与操作
风险管理流程分为四个主要流程:风险辨识评估流程、重大风险管控流程、风险管理监控与改进流程、风险管理总结与报告流程。风险管理各主要流程存在着紧密的内在关联性,且各工作流程呈递进关系。
2.内控自评价持续完善
全面风险管理和内控体系建设是一个持续改进的过程,建立是最开始的一部分内容,对建立的全面风险管理和内控体系建设和执行情况进行评价更是促进体系改善的有效手段;制度执行又是体系建设最关键的环节,建立再好的体系,不执行也是无效的。公司对全面风险管理和内控体系运行的有效性进行定期及不定期检查,开展全面风险管理和内控自评价审计。
(1)全面风险和内部控制管理测试评价
全面风险和内部控制管理测试评价包括:全面风险管理和内部控制健全性检查评价、全面风险管理和内部控制有效性测试、全面风险管理和内部控制实质性测试、全面风险管理和内部控制合理科学性综合评价。
(2)全面风险管理和内部控制管理缺陷判定
内控制度审计评价应对内部控制进行综合的判断,按其严重程度分为重大缺陷、重要缺陷和一般缺陷。被审计单位应建立内部控制缺陷的整改机制,明确内部各管理层级和单位整改职责分工,确保内部控制设计和运行中的重大风险和主要问题得到及时解决和有效控制。
(3)出具全面风险管理和内控自评价报告
出具内控审计报告,书写审计结论,向公司管理层报告内控审计结果。审计报告主要内容包括:审查和评价内部控制管理的目的、范围、依据、主要实施程序的描述;对内部控制管理的评价;审计结论;对改善内部控制管理的建议。
(4)全面风险管理和内控自评价审计整改
按照PDCA方法,加强过程审计,通过制定审计计划、按照方案实施审计,针对审计发现问题,制定整改措施,形成闭环。将各类审计结果转化为审计成果,有效维护体系运转。
四、全面风险管理和内控体系建设效果
通过全面风险管理与内控体系的建立,加强了公司风险管理与内控的有效融合。全面风险管理体系建设是在已有内控体系的基础上,导入风险管理的概念,经过辩识、评估等一系列科学系统的方法,建立的风险与内控体系。内控体系重点在于防范与规避风险;全面风险管理体系更强调在防范与规避的基础上,有效利用风险创造更大价值。内控体系更强调执行层面;全面风险管理体系更关注企业全局。建设过程中更加强调:全面风险管理体系建设与内控体系深度融合。
五、全面风险管理和内控体系建设存在的问题
全面风险管理和内控体系建设工作,涉及面广,参与人员多。在企业经营工作繁重的情况下,即要按照计划进度完成工作,又要保证体系建设质量,是体系建设中的重要环节。
六、全面风险管理和内控体系建设建议
加强组织领导。体系建设负责人要高度重视、统筹安排此项工作。制定具体落实方案,将任务落实到位。
参考文献:
[1]蒲育军.浅析风险导向审计在国有商业银行的应用[J].中国内部审计,2010(127),48-51.
[2]邝满维.内部审计在企业内部控制评价中的应用研究[J].中国内部审计,2010(127),40-43.
[3]刘德恒.国有企业内部控制框架[M].机械工业出版社,2009.
篇4
关键词:供电企业;风险管理体系;管理框架;组织机制;规范化机制;运作机制 文献标识码:A
中图分类号:F270 文章编号:1009-2374(2015)36-0153-04 DOI:10.13535/ki.11-4406/n.2015.36.076
1 概述
为有效贯彻国资委“管理提升”要求,南方电网公司在2013年的工作会议上,将全面风险管理体系建设列为2013~2015年工作重点,并明确了全面风险管理框架。同年,广东电网公司在深化创先工作总体方案中提出了2013~2015年全面风险管理总体创先关键举措。全面风险管理体系建设工作已经成为了供电企业提升管理水平重要内容,但是目前全面风险管理工作在供电企业中仍然缺乏成熟有效的建设方案。针对目前的情况,江门局认真学习《中央企业全面风险管理指引》,结合南方电网关于全面风险管理的要求,研究与探索了江门局全面风险管理体系建设方案。江门局通过建立风险数据库、制定风险应对策略、健全风险管控机制和风险管理评价机制等措施,建立起一套运转有效的全面风险管理体系,并获取了丰富的风险管理实践经验和理论成果。
2 全面风险管理工作现状诊断
随着创先工作的有序开展,江门供电局在安全生产风险、财务与经营风险、法律风险和廉洁风险四个领域开展了专项风险管理工作,但是对比全面风险管理的要求,仍然存在以下不足:
2.1 风险体系覆盖的全面性有待提高
江门局虽然在安全生产风险、财务与经营风险、法律风险和廉洁风险四个领域开展了专项风险管理工作,但并未建立覆盖全部领域的全面风险管理体系框架,如战略、市场和公共关系等方面的风险仍缺乏有效的管控措施。
2.2 专业风险管理的协调性有待加强
目前,江门局安全、财务与经营、法律、廉洁四个领域已经开展专项风险管理工作,但是各领域之间的管理工作尚未有效的统筹协调。专项风险管理工作由各专业部门牵头开展,各专业领域之间交叉和重合的风险管控工作尚未得到有效统筹。随着全面风险管理体系建设工作的不断开展,战略风险、市场风险、公共关系风险也纳入风险管理的范围,自此风险管控涉及专业面更广泛,如果各领域之间缺乏系统运作和协调性,这七大类风险管控就会显得杂乱无章,无法全面管控。
2.3 风险数据库的实用性有待提升
各专业领域的风险数据库只是对风险信息进行了简单的罗列,具有大而全的特征,不适用于日常工作。目前各专业领域都识别出大量的风险点信息,但是对于一些真正影响企业决策、安全生产、经营策略的重大风险,没能制定切实有效的风险应对措施,导致风险数据库只是风险点的累加而实用性不强。
2.4 风险文化建设的有效性有待加强
风险文化和风险意识的建设水平不高。目前,江门局风险管理文化氛围亟需提升,部分人员对风险管理不够积极主动,对于风险的危害性、易发性不够重视。各领域风险文化建设举措执行力不强,存在走过场的现象。此外,风险管理人员的专业知识和管理能力也有待加强。
3 全面风险管理体系建设
针对现状诊断中发现的问题,江门局以公司战略为导向,在公司董事会领导下,按照“统筹规划、探索创新,专业归口、分级负责,全面覆盖、规范运作”的原则,参照公司一体化管理的规范要求,坚持“整体部署、分专业分步实施、逐层推进、持续改进”的思路,建立了一套既符合一般风险管理要求,又符合电网行业特征,既符合国资委风险管理要求,又具有南网特色的全面风险管理体系框架。
3.1 全面风险管理框架
全面风险管理体系由风险管理组织机制、风险管理规范化机制、风险管理运作机制、风险管理信息系统、风险管理文化五部分组成,如图1所示。
3.1.1 风险管理组织机制。指公司全面风险管理工作的主要参与主体以及各自的职责权限划分。公司风险管理组织应包括董事会、风险管理委员会、风险管理办公室、风险管理专业小组、审计部、下属分子公司等各主要参与主体。
3.1.2 风险管理规范化机制。指运用一体化工作方法,对风险管理相关工作进行结构化设计后形成的规范化管理机制。该机制包含了风险管理工作的业务分类、流程设计、管控策略、统一规范策略和一系列规范性文件。
3.1.3 风险管理运作机制。指各级单位在组织职责要求和规范化要求的指引下,于业务过程中执行风险管理基本流程并产生成果的过程。风险管理运作机制要求公司各级单位在清晰的职责划分和协同下,在业务管理PDCA循环中,开展风险识别、评估、应对、监督等工作,并形成风险库、风险评估结果、风险应对方案、监督评价结论等成果。
3.1.4 风险管理信息系统。指公司用于支持风险管理工作的信息系统。公司风险管理信息系统应与业务应用系统结合,具备风险信息的采集、存储、加工、分析、传递、报告等功能,支持风险识别、评估、应对、监督等风险管理流程。
3.1.5 风险管理文化。指公司各级员工对待风险的价值观、理念、态度和行为方式。公司风险管理文化应承接公司整体文化体系,覆盖上下各级员工,将风险管理转化为员工的共同认识和自觉行动。
3.2 全面风险管理组织机制
江门局按照风险管理要求,结合工作实际,设置风险管理组织机构,为风险管理工作提供组织支持。全面风险管理组织机构包括全面风险管理委员会、全面风险管理办公室、风险管理归口部门、业务部门和监督部门。
3.2.1 全面风险管理委员会。成立全面风险管理委员会。全面风险管理委员会由局领导担任主任,成员由部门主任及县(区)分子公司主要负责人组成。各县(区)分子公司需按照市局要求成立全面风险管理委员会。主要职责:(1)统筹领导全面风险管理体系建设与评价工作;(2)审批风险管理方面制度和流程;(3)审批并签发风险环境分析报告、风险管理工作年度计划、全面风险管理报告、全面风险管理监督报告;(4)审批重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制以及重大决策的风险评估报告;(5)培育风险管理文化,推动风险管理信息系统的建设;(6)审批、决定全面风险管理中的其他重要事项。
3.2.2 全面风险管理办公室。全面风险管理委员会下设全面风险管理办公室,挂靠在企业管理部,全面风险管理办公室主任由企管部负责人担任。各县(区)分子公司全面风险管理办公室设在办公室或综合部,全面风险管理办公室主任由部门负责人担任。主要职责:(1)组织风险管理归口部门开展全面风险管理体系建设与评价工作;(2)组织风险管理归口部门制定、完善风险管理相关制度与流程;(3)组织风险管理归口部门开展风险环境分析、制定全面风险管理工作计划、编制全面风险管理报告;(4)组织风险管理归口部门制定跨领域重大风险应对策略及方案;(5)指导、监督风险管理归口部门开展风险管理工作;(6)组织开展风险管理绩效考核工作。
3.2.3 风险管理归口部门。按照“专业归口”管理原则,市局风险管理由七个风险管理归口部门负责,各风险管理归口部门分工详见表2,县(区)分子公司风险管理归口部门详见表3。
主要职责:(1)按照全面风险管理体系建设要求,落实专业领域风险管理工作;(2)指导、组织业务部门进行风险环境分析;(3)负责专业领域风险管理工作计划和方案的制定、组织实施、监督评价工作;(4)组织制定专业领域重大风险管理策略和应对方案;(5)指导、组织业务部门进行风险自我控制,执行风险管理基本流程;(6)负责开展专业领域风险评价工作,撰写专业领域风险管理报告。
3.2.4 业务部门。业务部门在风险管理归口部门的指导下开展风险管理工作,业务部门应指派一名风险管理联络员作为风险管理归口部门在业务部门的联络窗口。主要职责:(1)配合风险管理归口部门制定风险管理工作计划;(2)落实风险自我控制,执行风险环境分析、风险识别、风险评估、风险应对、风险监控等活动;(3)配合制定重大风险管理策略和应对方案;(4)配合开展风险管理评价工作,配合编写全面风险管理报告。
3.2.5 监督部门。监察审计部作为全面风险管理工作的监督部门,主要职责:(1)研究提出全面风险管理监督机制,制定风险监督相关制度;(2)制定全面风险管理监督方案,并组织实施;(3)按照风险管理委员会统一部署,对业务部门风险管理措施落实情况进行监督;(4)根据监督情况,编写风险管理监督报告。
3.3 全面风险管理规范化机制
为规范全面风险管理工作,江门局制定了各类工作指引和全面风险管理体系评价标准。
3.3.1 制定《全面风险管理指引》。为推动全面风险管理体系建设,提升风险管理防范和控制能力,江门局根据国资委《中央企业全面风险管理指引》的相关规定,按照网省公司全面风险管理工作部署,结合风险管理实际情况,制定《全面风险管理指引》。指引遵守以下原则:(1)全面控制原则。将风险管理与生产经营活动相结合,实现全员参与、全领域覆盖、全过程监控;(2)突出重点原则。以重大风险、重大事件(指重大风险发生后的事实)和重要流程的管理为重点,开展全面风险管理工作;(3)有效落地原则。全面风险管理工作开展应与其他管理工作紧密结合,力求把风险管理的各项要求嵌入日常业务流程及管理规范,确保实效落地;(4)成本效益原则。风险管理工作开展与风险应对措施制定应兼顾成本与效益,实现成本与效益的平衡。
3.3.2 制定风险管理各项工作指引。编制《全面风险管理组织机构设置及工作指引》《绩效考核工作指引》《基于风险管理的岗位职责表梳理工作指引》《基于风险管理的制度流程修编工作指引》《全面风险管理信息沟通机制工作指引》。各项工作指引为全面风险管理工作的落地提供指导和规范。
3.3.3 制定管理体系评价标准。江门局按照全面风险管理体系建设要求,运用风险管理评价理论、成熟度理论,建立了全面风险管理体系评价标准。
江门局全面风险管理体系评价标准包括四个维度:风险管理基础、风险管理过程、风险事件管理、审核与改进。风险管理基础是企业进行全面风险管理的前提条件,在具备风险管理基础后,企业按照风险管理过程进行风险管理,当风险事件发生时,应该启动风险事件管理,最后定期对企业全面风险管理体系建设情况进行审核和改进。
3.4 全面风险管理运作机制
3.4.1 梳理风险管理基本流程。梳理风险管理的基本流程,是为全面风险管理体系的管理与运行提供制度化、流程化的保障,确保其有效运行并受控。
风险管理流程如图2所示:(1)应详细收集风险管理的相关信息,根据收集到的信息和企业各项业务管理及其重要业务流程,开展风险识别工作,并填写各领域的风险识别表;(2)从风险发生的可能性和影响程度两个维度进行风险评估,确定风险等级;(3)基于风险评估的结果,结合风险偏好及风险承受度,制定风险应对策略和风险管控措施;(4)对风险事件的结果保持跟进监督,并做出客观评价,为后续的风险预警工作提供支持。
3.4.2 构建规范化的风险分类体系。在风险分类上,江门局根据历年风险情况,按照七个重点领域,建立了一套规范的风险分类体系。
3.4.3 完善风险数据库。风险数据库的建立有助于企业识别各业务领域的风险点、评估风险点的等级、提出针对性的应对措施、明确风险管理的责任主体等。江门局针对地市层级、县区层级和供电所层级分别制定了满足各层级需求的数据库。
3.5 全面风险管理信息系统
根据省公司风险管理信息系统建设安排,江门局将信息技术应用于风险管理的各项工作,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。信息中心应确保风险管理信息系统的稳定运行和安全,并根据实际需要不断进行改进、完善或更新。
3.6 全面风险管理文化
为促进企业风险管理水平、员工风险管理意识的提升,营造良好的风险管理氛围,为全面风险管理体系提供支持,江门局从表7所示的四个层面开展了风险管理文化体系的建设。
篇5
为有效贯彻国资委“管理提升”要求,南方电网公司在2013年的工作会议上,将全面风险管理体系建设列为2013~2015年工作重点,并明确了全面风险管理框架。同年,广东电网公司在深化创先工作总体方案中提出了2013~2015年全面风险管理总体创先关键举措。全面风险管理体系建设工作已经成为了供电企业提升管理水平重要内容,但是目前全面风险管理工作在供电企业中仍然缺乏成熟有效的建设方案。针对目前的情况,江门局认真学习《中央企业全面风险管理指引》,结合南方电网关于全面风险管理的要求,研究与探索了江门局全面风险管理体系建设方案。江门局通过建立风险数据库、制定风险应对策略、健全风险管控机制和风险管理评价机制等措施,建立起一套运转有效的全面风险管理体系,并获取了丰富的风险管理实践经验和理论成果。
2全面风险管理工作现状诊断
随着创先工作的有序开展,江门供电局在安全生产风险、财务与经营风险、法律风险和廉洁风险四个领域开展了专项风险管理工作,但是对比全面风险管理的要求,仍然存在以下不足:
2.1风险体系覆盖的全面性有待提高
江门局虽然在安全生产风险、财务与经营风险、法律风险和廉洁风险四个领域开展了专项风险管理工作,但并未建立覆盖全部领域的全面风险管理体系框架,如战略、市场和公共关系等方面的风险仍缺乏有效的管控措施。
2.2专业风险管理的协调性有待加强
目前,江门局安全、财务与经营、法律、廉洁四个领域已经开展专项风险管理工作,但是各领域之间的管理工作尚未有效的统筹协调。专项风险管理工作由各专业部门牵头开展,各专业领域之间交叉和重合的风险管控工作尚未得到有效统筹。随着全面风险管理体系建设工作的不断开展,战略风险、市场风险、公共关系风险也纳入风险管理的范围,自此风险管控涉及专业面更广泛,如果各领域之间缺乏系统运作和协调性,这七大类风险管控就会显得杂乱无章,无法全面管控。
2.3风险数据库的实用性有待提升
各专业领域的风险数据库只是对风险信息进行了简单的罗列,具有大而全的特征,不适用于日常工作。目前各专业领域都识别出大量的风险点信息,但是对于一些真正影响企业决策、安全生产、经营策略的重大风险,没能制定切实有效的风险应对措施,导致风险数据库只是风险点的累加而实用性不强。
2.险文化建设的有效性有待加强
风险文化和风险意识的建设水平不高。目前,江门局风险管理文化氛围亟需提升,部分人员对风险管理不够积极主动,对于风险的危害性、易发性不够重视。各领域风险文化建设举措执行力不强,存在走过场的现象。此外,风险管理人员的专业知识和管理能力也有待加强。
3全面风险管理体系建设
针对现状诊断中发现的问题,江门局以公司战略为导向,在公司董事会领导下,按照“统筹规划、探索创新,专业归口、分级负责,全面覆盖、规范运作”的原则,参照公司一体化管理的规范要求,坚持“整体部署、分专业分步实施、逐层推进、持续改进”的思路,建立了一套既符合一般风险管理要求,又符合电网行业特征,既符合国资委风险管理要求,又具有南网特色的全面风险管理体系框架。
3.1全面风险管理框架
全面风险管理体系由风险管理组织机制、风险管理规范化机制、风险管理运作机制、风险管理信息系统、风险管理文化五部分组成。
3.1.1风险管理组织机制。指公司全面风险管理工作的主要参与主体以及各自的职责权限划分。公司风险管理组织应包括董事会、风险管理委员会、风险管理办公室、风险管理专业小组、审计部、下属分子公司等各主要参与主体。
3.1.2风险管理规范化机制。指运用一体化工作方法,对风险管理相关工作进行结构化设计后形成的规范化管理机制。该机制包含了风险管理工作的业务分类、流程设计、管控策略、统一规范策略和一系列规范性文件。
3.1.3风险管理运作机制。指各级单位在组织职责要求和规范化要求的指引下,于业务过程中执行风险管理基本流程并产生成果的过程。风险管理运作机制要求公司各级单位在清晰的职责划分和协同下,在业务管理PDCA循环中,开展风险识别、评估、应对、监督等工作,并形成风险库、风险评估结果、风险应对方案、监督评价结论等成果。
3.1.险管理信息系统。指公司用于支持风险管理工作的信息系统。公司风险管理信息系统应与业务应用系统结合,具备风险信息的采集、存储、加工、分析、传递、报告等功能,支持风险识别、评估、应对、监督等风险管理流程。
3.1.5风险管理文化。指公司各级员工对待风险的价值观、理念、态度和行为方式。公司风险管理文化应承接公司整体文化体系,覆盖上下各级员工,将风险管理转化为员工的共同认识和自觉行动。
3.2全面风险管理组织机制
江门局按照风险管理要求,结合工作实际,设置风险管理组织机构,为风险管理工作提供组织支持。全面风险管理组织机构包括全面风险管理委员会、全面风险管理办公室、风险管理归口部门、业务部门和监督部门。
3.2.1全面风险管理委员会。成立全面风险管理委员会。全面风险管理委员会由局领导担任主任,成员由部门主任及县(区)分子公司主要负责人组成。各县(区)分子公司需按照市局要求成立全面风险管理委员会。主要职责:(1)统筹领导全面风险管理体系建设与评价工作;(2)审批风险管理方面制度和流程;(3)审批并签发风险环境分析报告、风险管理工作年度计划、全面风险管理报告、全面风险管理监督报告;(4)审批重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制以及重大决策的风险评估报告;(5)培育风险管理文化,推动风险管理信息系统的建设;(6)审批、决定全面风险管理中的其他重要事项。
3.2.2全面风险管理办公室。全面风险管理委员会下设全面风险管理办公室,挂靠在企业管理部,全面风险管理办公室主任由企管部负责人担任。各县(区)分子公司全面风险管理办公室设在办公室或综合部,全面风险管理办公室主任由部门负责人担任。主要职责:(1)组织风险管理归口部门开展全面风险管理体系建设与评价工作;(2)组织风险管理归口部门制定、完善风险管理相关制度与流程;(3)组织风险管理归口部门开展风险环境分析、制定全面风险管理工作计划、编制全面风险管理报告;(4)组织风险管理归口部门制定跨领域重大风险应对策略及方案;(5)指导、监督风险管理归口部门开展风险管理工作;(6)组织开展风险管理绩效考核工作。
3.2.3风险管理归口部门。按照“专业归口”管理原则,市局风险管理由七个风险管理归口部门负责,各风险管理归口部门分工详见表2,县(区)分子公司风险管理归口部门详见表3。主要职责:(1)按照全面风险管理体系建设要求,落实专业领域风险管理工作;(2)指导、组织业务部门进行风险环境分析;(3)负责专业领域风险管理工作计划和方案的制定、组织实施、监督评价工作;(4)组织制定专业领域重大风险管理策略和应对方案;(5)指导、组织业务部门进行风险自我控制,执行风险管理基本流程;(6)负责开展专业领域风险评价工作,撰写专业领域风险管理报告。
3.2.4业务部门。业务部门在风险管理归口部门的指导下开展风险管理工作,业务部门应指派一名风险管理联络员作为风险管理归口部门在业务部门的联络窗口。主要职责:(1)配合风险管理归口部门制定风险管理工作计划;(2)落实风险自我控制,执行风险环境分析、风险识别、风险评估、风险应对、风险监控等活动;(3)配合制定重大风险管理策略和应对方案;(4)配合开展风险管理评价工作,配合编写全面风险管理报告。
3.2.5监督部门。监察审计部作为全面风险管理工作的监督部门,主要职责:(1)研究提出全面风险管理监督机制,制定风险监督相关制度;(2)制定全面风险管理监督方案,并组织实施;(3)按照风险管理委员会统一部署,对业务部门风险管理措施落实情况进行监督;(4)根据监督情况,编写风险管理监督报告。
3.3全面风险管理规范化机制
为规范全面风险管理工作,江门局制定了各类工作指引和全面风险管理体系评价标准。
3.3.1制定《全面风险管理指引》。为推动全面风险管理体系建设,提升风险管理防范和控制能力,江门局根据国资委《中央企业全面风险管理指引》的相关规定,按照网省公司全面风险管理工作部署,结合风险管理实际情况,制定《全面风险管理指引》。指引遵守以下原则:(1)全面控制原则。将风险管理与生产经营活动相结合,实现全员参与、全领域覆盖、全过程监控;(2)突出重点原则。以重大风险、重大事件(指重大风险发生后的事实)和重要流程的管理为重点,开展全面风险管理工作;(3)有效落地原则。全面风险管理工作开展应与其他管理工作紧密结合,力求把风险管理的各项要求嵌入日常业务流程及管理规范,确保实效落地;(4)成本效益原则。风险管理工作开展与风险应对措施制定应兼顾成本与效益,实现成本与效益的平衡。
3.3.2制定风险管理各项工作指引。编制《全面风险管理组织机构设置及工作指引》《绩效考核工作指引》《基于风险管理的岗位职责表梳理工作指引》《基于风险管理的制度流程修编工作指引》《全面风险管理信息沟通机制工作指引》。各项工作指引为全面风险管理工作的落地提供指导和规范。3.3.3制定管理体系评价标准。江门局按照全面风险管理体系建设要求,运用风险管理评价理论、成熟度理论,建立了全面风险管理体系评价标准。
4结语
